広島大学放射光科学研究センター（HiSOR）は、国立大学で唯一の放射光利用研究施設として発足、放射光を利用した物質科学研究を行っている。同センターは、国内だけでなく海外からの研究グループが頻繁に訪れ、数週間滞在し研究を行うというケースがあった。ここにセキュリティ面で課題が生じていた。来訪者はノートパソコン等を持ち込むが、各パソコンにエージェントのインストールをすることは現実的ではない。また、HiSORのネットワーク上には古いWindowsマシンを使った高価な測定機器も接続されており、これらの機器における万一のソフトウェア障害などを防ぐためにも、エージェントが不要であることが重要だった。

　そこで広島大学では検疫ネットワークの導入を決定。導入にあたって、既存のネットワーク環境をそのまま使えること、自由度が高いこと、そしてクライアントにエージェントが不要であることを条件とした。結果、シスコの「Cisco NAC アプライアンス（Clean Access）」を導入した。

　「Cisco Clean Access」は、まずエージェントを入れると認証を行い、複数ベンダーに対応したアンチウイルスソフト、Windows Hotfixの情報を収集し検疫を行う。そしてエージェントがないゲストPCの場合、認証と「ネットワークスキャン機能」を用いたセキュリティ状態の評価を行う。このため、たとえば職員や学生など学内の固定的なユーザーはエージェントを入れ、来訪者はエージェントレスで利用するといった使い方が可能になる。既存の測定機器については、MACアドレスを元にセキュリティ機能の一部をバイパスし、予期せぬトラブルを未然に防ぐよう工夫している。このように、自由な使い方が可能な点と、スイッチなど他のネットワーク機器に依存せずネットワークの改変が不要な点を評価した。




　 　HiSORの有線ネットワーク環境はシスコのスイッチ「Cisco Catalyst 2960」を導入、ワイヤレス環境は2006年3月にシスコのワイヤレスLANアクセスポイント「Cisco Aironet」を導入して、接続場所を選ばないワイヤレスLANを構築していた。そして、この度構築した検疫ネットワークにより、両方からのアクセスに対して、「Cisco Clean Access」が検疫を実施する。

　エージェントソフトをインストールした利用者がネットワークに接続した場合、たとえばWindowsのセキュリティパッチが最新でないと、その旨ポップアップ表示される。この場合、ユーザーはWindows Updateに限定的に接続が許され、誘導に従って各自でパソコンを安全な状態にすると接続が可能になる。「Cisco Clean Access」のデータベースが、Windowsセキュリティパッチやアンチウィルスの情報を自動で更新するため、ユーザーは管理者の手を借りる必要がなく更新できる。同システムはまだ稼動したばかりだが、現状は違和感もなく評価されているという。

今回構築された広島大学の検疫ネットワーク